قبل عدة أيامكشفت شركة جوجل S Google النقاب عن مبادرة Secure Open Source (SOS) ، والتي سيوفر مكافآت للعمل المتعلق بتقوية البرامج مفتوحة المصدر الهامة وقد تم تخصيص مليون دولار للدفعات الأولى ، ولكن إذا تم الاعتراف بالمبادرة على أنها ناجحة ، فسيستمر الاستثمار في المشروع.
يتم قبول طلبات المكافآت فقط للتغييرات المقبولة في المشاريع بمستوى حرجية لا يقل عن 0.6 بناءً على الدرجة الحرجة لـ OpenSSF أو المدرجة في قائمة المشاريع التي تتطلب ضوابط أمنية خاصة.
يجب أن ترتبط طبيعة التغييرات المقترحة بتحسين الأمن في مجالات مثل تعزيز حماية عناصر البنية التحتية (على سبيل المثال ، التكامل المستمر وعمليات التوزيع) ، وتنفيذ أنظمة التحقق من التوقيعات الرقمية لمكونات منتجات البرمجيات ، وزيادة مستوى المنتج (التصحيح ، حماية الفروع ، اختبار التشويش ، الحماية من هجمات التبعية).
خلال العام الماضي ، قمنا بعدد من الاستثمارات لتعزيز أمن المشاريع الهامة مفتوحة المصدر ، وأعلننا مؤخرًا عن التزامنا بمبلغ 10 مليارات دولار للدفاع عن الأمن السيبراني ، بما في ذلك 100 مليون دولار لدعم مؤسسات الطرف الثالث التي تدير أولويات أمان المصدر المفتوح والمساعدة في إصلاح الثغرات الأمنية.
بخصوص مبالغ المكافآتسيتم إصدارها على النحو التالي:
- 10,000 دولار أو أكثر: لإدخال تحسينات معقدة وهامة وطويلة الأجل ذات صلة تحمي من نقاط الضعف الخطيرة في التعليمات البرمجية أو البنية التحتية للمشاريع المفتوحة.
- 5000 دولار - 10000 دولار - للترقيات متوسطة الصعوبة التي لها تأثير إيجابي على الأمن.
- 1000 - 5000 دولار أمريكي للترقيات المتوسطة الصعوبة لزيادة الأمان.
- 505 دولارات - لتحسينات الأمان الصغيرة.
يسعدنا اليوم أن نعلن عن رعايتنا للبرنامج التجريبي الآمن مفتوح المصدر (SOS) بقيادة مؤسسة Linux. يكافئ هذا البرنامج المطورين ماليًا على تحسين أمن المشاريع الهامة مفتوحة المصدر التي نعتمد عليها جميعًا. نبدأ باستثمار مليون دولار ونخطط لتوسيع نطاق البرنامج بناءً على تعليقات المجتمع.
من ناحية أخرى OSTIF (صندوق تحسين التكنولوجيا مفتوح المصدر) ، الذي تم إنشاؤه لتعزيز أمن المشاريع مفتوحة المصدر ، أعلنت عن شراكة مع Google ، التي أعربت عن استعدادها لتمويل تدقيق أمني مستقل لثمانية مشاريع المصدر المفتوح.
مع الأموال المستلمة من Google ، تقرر تدقيق Git ومكتبة Lodash JavaScript وإطار عمل PHP Laravel وإطار عمل Java Slf4j ومكتبات Jackson JSON (Jackson-core و Jackson-databind) ومكونات Apache Http (Httpcomponents- المكونات الأساسية و http).
سيمكن دعم Google OSTIF من إطلاق برنامج التدقيق المُدار (MAP) ، والذي سيوسع مراجعاتنا الأمنية المتعمقة لتشمل المزيد من المشاريع الحيوية للنظام البيئي مفتوح المصدر.
في السابق ، باستخدام الأموال المتلقاة نتيجة جمع التبرعات ، الصندوق قام OSTIF بالفعل بتدقيق مشاريع OpenSSL و VeraCrypt و OpenVPN و Monero و Unbound DNS و QRL.
بشكل منفصل ، جمع المجتمع بالفعل أدوات لتدقيق PHP Symfony framework. في حالة التمويل الإضافي للتدقيق ، يتم التخطيط أيضًا لمشاريع Systemd و Electron و Rails و Drupal و Joomla و WebPack و Reprepro و Ceph و React Native و Salt و Ansible و Angular و Gatsby و Guava.
يمثل هذا نجاحًا كبيرًا في جذب الشركات المانحة الكبيرة لدعم نموذج OSTIF لتحسين البرمجيات مفتوحة المصدر من خلال المراجعات الأمنية وتدقيق كود المصدر.
تم الاختيار على أساس تجريبي على أساس تقييم تأثير الأمن من المشروع في النظام البيئي مفتوح المصدر والفائدة المحتملة للمجتمع من خلال زيادة أمن المشاريع قيد النظر. تم حساب معامل لنحو 100 ألف مشروع على GitHub مع الأخذ في الاعتبار عوامل مثل شيوع الاستخدام كعامل تبعية ، الطلب على البنية التحتية ، وعدد المطورين ، ونشاط التطوير ، وعدد رسائل الخطأ المغلقة وغير المغلقة ، وعدد المنظمات التي تدعم المشروع ، وتكرار التحديثات ، وتاريخ تحديد الثغرات الأمنية ، وما إلى ذلك.
فوينتس: https://ostif.org/, https://security.googleblog.com/